DSGVO-konforme Übersetzung: Warum die meisten Tools illegal sind
Die meisten Übersetzungstools verstoßen gegen die DSGVO. Hier erfahren Sie, was ein wirklich datenschutzkonformes Übersetzungstool erfüllen muss — mit Checkliste für die Beschaffung.
„Wir nutzen DeepL, das ist ja eine deutsche Firma."
Diesen Satz höre ich in fast jedem Gespräch mit Datenschutzbeauftragten. Und er ist der perfekte Einstieg in ein Problem, das die meisten Unternehmen unterschätzen.
Ja, DeepL sitzt in Köln. Ja, die DSGVO gilt. Aber „europäisches Unternehmen" bedeutet nicht automatisch „DSGVO-konform". Nicht für das Tool selbst, und schon gar nicht für die Art und Weise, wie Ihre Mitarbeiter es nutzen.
Die meisten Übersetzungstools — kostenlose und kostenpflichtige — erfüllen die DSGVO-Anforderungen an Auftragsverarbeitung nicht oder nur teilweise. Und die meisten Unternehmen haben sie nie als Auftragsverarbeiter klassifiziert.
Dieser Beitrag erklärt, was „DSGVO-konform" bei Übersetzungstools wirklich bedeutet, und gibt Ihnen eine Checkliste für die Beschaffung.
Was „DSGVO-konforme Übersetzung" wirklich bedeutet
Wenn ein Mitarbeiter einen Text in ein Übersetzungstool eingibt, findet eine Datenverarbeitung statt. Wenn dieser Text personenbezogene Daten enthält — Namen, Adressen, Vertragsinhalte, Mitarbeiterdaten — gelten die DSGVO-Anforderungen an Auftragsverarbeitung.
Das bedeutet konkret:
Rollen klären: Verantwortlicher vs. Auftragsverarbeiter
Ihr Unternehmen ist der Verantwortliche (Art. 4 Nr. 7 DSGVO). Sie bestimmen Zweck und Mittel der Verarbeitung.
Das Übersetzungstool ist der Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO). Es verarbeitet Daten in Ihrem Auftrag.
Diese Rollenverteilung ist nicht optional. Sie hat rechtliche Konsequenzen:
- Sie brauchen einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO
- Der Auftragsverarbeiter darf Daten nur nach Weisung verarbeiten
- Sie müssen den Auftragsverarbeiter in Ihr Verzeichnis von Verarbeitungstätigkeiten (VVT) aufnehmen
- Sie sind für die Rechtmäßigkeit der Verarbeitung verantwortlich
Rechtsgrundlage
Die Übersetzung selbst kann auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder Vertragserfüllung (Art. 6 Abs. 1 lit. b) gestützt werden. Aber die Weitergabe an den Auftragsverarbeiter benötigt einen AVV. Ohne AVV gibt es keine Rechtsgrundlage für die Datenübermittlung an das Tool.
Die 7 Anforderungen an ein Übersetzungstool
Basierend auf den DSGVO-Grundsätzen und den Anforderungen an Auftragsverarbeitung muss ein Übersetzungstool mindestens diese Kriterien erfüllen:
1. Kein Training mit Kundendaten
Das Tool darf eingegebene Texte nicht zum Training, Fine-Tuning oder zur Verbesserung seiner Modelle nutzen. Dies verstößt gegen den Grundsatz der Zweckbindung (Art. 5 Abs. 1 lit. b): Die Daten wurden zum Zweck der Übersetzung übermittelt, nicht zum Zweck der Modellverbesserung.
Was viele nicht wissen: Bei der kostenlosen Version von DeepL und Google Translate können eingegebene Texte zur Verbesserung des Dienstes verwendet werden. Das steht in den Datenschutzrichtlinien — aber die liest kaum jemand.
2. Datenminimierung
Nach Art. 5 Abs. 1 lit. c dürfen nur die Daten verarbeitet werden, die für den Zweck erforderlich sind. Ein Übersetzungstool, das neben dem Text auch Nutzungsanalysen, Tastaturverhalten oder Dokumentmetadaten erfasst, verstößt möglicherweise gegen diesen Grundsatz.
3. Speicherbegrenzung
Art. 5 Abs. 1 lit. e verlangt, dass Daten nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Der Zweck ist die Übersetzung. Sobald die Übersetzung abgeschlossen ist, gibt es keinen Zweck mehr für die Speicherung.
Tools mit automatischer Löschung nach 30 Minuten erfüllen diesen Grundsatz am besten. Tools, die Übersetzungshistorien anlegen? Fragwürdig.
4. EU-Verarbeitung
Die Verarbeitung sollte innerhalb des EWR stattfinden. Drittlandtransfers (z.B. in die USA) erfordern zusätzliche Schutzmaßnahmen: Standardvertragsklauseln (SCCs), Angemessenheitsbeschluss oder verbindliche interne Datenschutzvorschriften.
Für die meisten Unternehmen ist die einfachste Lösung: ein Tool wählen, das ausschließlich in der EU verarbeitet.
5. Kein Zugriff durch Unbefugte
Der Auftragsverarbeiter muss sicherstellen, dass nur autorisierte Personen Zugriff auf die Daten haben. Idealerweise hat niemand beim Anbieter Zugriff auf den Inhalt Ihrer Übersetzungen — weder Entwickler noch Support-Mitarbeiter.
Zero-Access-Architektur ist der sicherste Ansatz: Die Architektur macht es technisch unmöglich, auf Kundeninhalte zuzugreifen.
6. Unterauftragsverarbeiter-Transparenz
Nach Art. 28 Abs. 2 DSGVO muss der Auftragsverarbeiter vor der Einschaltung weiterer Auftragsverarbeiter Ihre Genehmigung einholen. In der Praxis geschieht dies meist durch eine veröffentlichte Unterauftragsverarbeiterliste mit Benachrichtigung bei Änderungen.
Fragen Sie: Welche Unterauftragsverarbeiter sind an der Übersetzung beteiligt? Wo sitzen sie? Welche Daten erhalten sie?
7. AVV und Löschnachweis
Der Auftragsverarbeitungsvertrag muss folgendes regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten
- Kategorien betroffener Personen
- Rechte und Pflichten des Verantwortlichen
- Technische und organisatorische Maßnahmen (TOMs)
Ohne AVV? Dann darf das Tool nicht für personenbezogene Daten verwendet werden.
Typische Fallen
Falle 1: „Kostenlose Tools sind ja nur für kurze Texte"
Die Datenmenge spielt keine Rolle. Wenn ein Name, eine Adresse oder eine Vertragsnummer in den Text kopiert wird, handelt es sich um personenbezogene Daten. Und die DSGVO kennt keine Bagatellgrenze.
Falle 2: „Wir haben die Pro-Version"
Die Pro-Version ist besser — aber nicht automatisch konform. Prüfen Sie, ob die Pro-Version tatsächlich einen AVV bietet, ob die Datenverarbeitungsbedingungen die DSGVO-Anforderungen erfüllen, und ob die Webversion und die API unterschiedliche Bedingungen haben (bei DeepL ist das der Fall).
Falle 3: „Das ist doch ein europäisches Unternehmen"
Der Sitz des Unternehmens sagt nichts über die tatsächliche Datenverarbeitung. Ein europäisches Unternehmen kann Unterauftragsverarbeiter in den USA nutzen, Daten auf amerikanischen Cloud-Servern verarbeiten oder Texte zur Modellverbesserung an Dritte weitergeben.
Prüfen Sie die tatsächliche Verarbeitung, nicht die Postadresse.
Falle 4: „Unsere Mitarbeiter nutzen das nur privat"
Wenn Mitarbeiter während der Arbeitszeit arbeitsbezogene Inhalte übersetzen, handelt es sich um eine berufliche Nutzung — unabhängig davon, ob das Tool privat oder vom Unternehmen bereitgestellt wurde. Shadow-IT ist kein Ausschlussgrund für die DSGVO-Verantwortung.
Checkliste für die Beschaffung
Verwenden Sie diese Checkliste bei der Bewertung eines Übersetzungstools:
| Anforderung | Erfüllt? |
|---|---|
| AVV nach Art. 28 DSGVO verfügbar | ☐ |
| Kein Training mit Kundendaten (vertraglich zugesichert) | ☐ |
| Speicherfrist definiert (idealerweise ≤ 30 Minuten) | ☐ |
| Harte Löschung (nicht nur „als gelöscht markiert") | ☐ |
| Verarbeitung ausschließlich im EWR | ☐ |
| Unterauftragsverarbeiterliste verfügbar | ☐ |
| Kein Zugriff auf Inhalte durch Anbieter-Mitarbeiter | ☐ |
| Verschlüsselung bei Übertragung und Speicherung | ☐ |
| Meldepflicht bei Datenschutzverletzungen (72h) | ☐ |
| Löschung aller Daten bei Vertragsende | ☐ |
Wenn ein Anbieter nicht alle Punkte erfüllt, ist das Tool für personenbezogene Daten nicht geeignet.
Häufig gestellte Fragen
Trainieren KI-Übersetzungstools mit meinen Daten?
Kostenlose Versionen: häufig ja. Kostenpflichtige API-Versionen: in der Regel nicht, aber prüfen Sie die Vertragsbedingungen im Detail.
Reicht eine EU-Verarbeitung aus?
EU-Verarbeitung ist notwendig, aber nicht hinreichend. Sie brauchen zusätzlich: AVV, Löschfrist, Zugangskontrolle und Training-Ausschluss.
Wie schnell müssen Daten gelöscht werden?
Die DSGVO nennt keine genaue Frist, verlangt aber Speicherung nur „so lange wie nötig". Für Übersetzungen ist der Zweck erfüllt, sobald die Übersetzung abgeschlossen ist. 30 Minuten ist ein sinnvoller Standard.
Fazit
- „DSGVO-konform" bedeutet mehr als ein europäischer Firmensitz
- Übersetzungstools sind Auftragsverarbeiter — sie brauchen einen AVV
- Die 7 Mindestanforderungen: kein Training, Datenminimierung, Speicherbegrenzung, EU-Verarbeitung, Zugangskontrolle, Unterauftragsverarbeiter-Transparenz, AVV
- Kostenlose Tools sind für personenbezogene Daten grundsätzlich nicht geeignet
- Prüfen Sie die tatsächliche Verarbeitung, nicht die Marketingversprechen
Weiterführende Links
Tags
Related Articles
Google Translate im Büro: Warum Ihr Team damit aufhören sollte
Jedes Büro nutzt Google Translate. Was dabei mit Ihren Daten passiert — und welche sicheren Alternativen es für den Unternehmenseinsatz gibt.
5 min read
Sichere Dokumentenübersetzung: So funktioniert es ohne Datenleck
Eine Schritt-für-Schritt-Anleitung für die sichere Dokumentenübersetzung. Hochladen, übersetzen, herunterladen, automatische Löschung — ohne Datenleck.
5 min read
Translation Software for Startups: Enterprise Security Without Enterprise Pricing
Why startups need secure translation from day one — investor decks, term sheets, cross-border hiring — and how to get enterprise-grade security without enterprise pricing.
6 min read
Try noll for free
Translate your sensitive documents with zero data retention. Your files are automatically deleted after download.
Get started for free
